Klumme: Black friday og julesalg øger behov for fokus på cybersikkerhed
KLUMME |
Inden længe står vi midt i den hektiske black friday- og julehandel, som for de fleste detailhandlere er en højtid i mere end en forstand – det er i denne tid, en betydelig del af omsætningen skal hentes hjem.
Men det er også ikke kun detailhandelen, som ser frem til at få travlt – det gør de cyberkriminelle også. Det er en tid, hvor en cocktail af øget aktivitet, sæsonarbejdere og fridage for it-medarbejdere kan medvirke til en øget eksponering for cybertrusler, så der er god grund til at fastholde fokus på cybersikkerhed som detailhandler.
En række af de største sikkerhedstrusler, som er rettet mod detailbranchen, er beskrevet i den store årlig 2023 Data Breach Investigations Report (DBIR) fra Verizon Business.
Stjålne ID-oplysninger fylder
Her fremgår det, at stjålne eller lækkede ID-oplysninger faktisk står for næsten halvdelen, 45 procent, af alle brud på datasikkerheden.
Andre metoder, såsom ’pretexting’ – en form for social engineering, hvor kriminelle udgiver sig for at være en betroet person eller for at repræsenterer en anden virksomhed eller organisation – kan bruges sammen med stjålne legitimationsoplysninger til at udføre yderligere angreb, fx at inficere malware i et netværk og stjæle mere følsomme Information. Med andre ord kan lækkede data være en indgang til mere alvorlige forbrydelser.
Den menneskelige faktor
Udfordringen for detailhandlen er i højere grad end i de fleste andre brancher det menneskelige element, som spiller ind på næsten tre fjerdedele, 74 pct., af alle sikkerhedsbrud, inklusive kompromitterede ID-oplysninger og social engineering.
Det faktum, at detailhandlen kæmper med mangel på arbejdskraft, høj medarbejderomsætning og en arbejdsstyrke, der ikke altid er digitalt kyndig, kan gøre detailhandlere sårbare over for phishing og smishing. Højsæsonen ved årets udgang er kun med til at øge denne sårbarhed.
Undervis personale
Den gode nyhed for detailhandlere er, at selvom stjålne eller lækkede ID-oplysninger og social engineering er udbredte problemer, er disse angreb ofte såkaldte ’low-tech’ angreb.
Her kan man at styrke sikkerheden mærkbart ved at undervise personalet i, hvordan man opdager og undgår phishing, smishing og falske forudsætninger, samt andre angreb med elementer af social engineering - uddannelse kan hjælpe med at forhindre størstedelen af brud relateret til menneskelige fejl. Teknologier som AR og VR kan endda bruges til fjernvideotræning, hvilket kan være særligt effektivt med vikarer og sæsonarbejdere.
Træning er samtidig nyttigt til at hjælpe medarbejderne med at identificere almindelige metoder, der bruges til at implementere ransomware.
Husk ny standard
Det kan også være meget effektivt at have en ’zero trust’-tilgang til cybersikkerhed, hvor alle brugere er autentificeret, autoriserede og løbende valideret, fordi sikkerhedstrusler kan komme fra hvor som helst, inklusive fra intetanende brugere fra en organisation.
Tyveri af betalingsinformationer er steget dramatisk i detailhandlen og tegner sig ifølge rapporten nu for 37 procent af overtrædelserne. De fleste af disse brud (70 pct.) kommer fra webapplikationer. Det understreger det presserende behov for at være compliant med den kommende PCI 4.0-standard (sikkerhedsstandard, red.), der træder i kraft til april næste år.
Digitalisering vokser i detail
Med den hurtige digitalisering af detailsektoren ser vi nye udfordringer, herunder en uforudsigelig forsyningskæde og let forskrækkede forbrugere.
Perioden er også en slags højtid for trusselsaktørerne, bl.a. fordi mange detailkæder har sæsonarbejdere, og måske også fordi mange IT-medarbejdere holder ferie. De detailhandlere, der for nylig har startet deres digitaliseringsprocesser, men endnu ikke har udviklet en passende cybersikkerhedsplan, vil være meget mere sårbare på denne tid af året.
Ligesom detailhandlere skal være strategiske og proaktive med hensyn til lagerstyring i denne periode, skal de være også huske at være proaktive for at beskytte deres virksomhed og deres kunder bedst muligt.
Et databrud repræsenterer ikke kun en økonomisk risiko, men også en betydelig risiko for tab af omdømme og troværdighed, er et forstærket fokus på it-sikkerheden helt nødvendigt – og helst i god tid før travlheden for alvor sætter ind.
